Співзасновник CertiK Гу Рунгхуй говорить про безпеку Блокчейн: від академічних ідей до галузевої практики
Нещодавно технологічні медіа провели інтерв'ю з професором Гу Ронгхуй, співзасновником та CEO CertiK. Сторони детально обговорили останній випущений компанією звіт про безпеку, вивчаючи еволюцію методів хакерських атак та інноваційні шляхи технологій безпеки.
Гу Ронгхуй підкреслив, що безпека повинна розглядатися як базовий принцип, а не як заходи, що вживаються після виникнення проблем. Він пропонує інтегрувати концепцію безпеки в загальну стратегію проекту, впроваджуючи ідею "безпека на першому місці" з самого початку. Зокрема, він радить активно використовувати формальну верифікацію, нульові знання, багатосторонні обчислення та інші передові технології для всебічного підвищення захисних можливостей Блокчейн-протоколів і смарт-контрактів. Саме це стало його метою та баченням при створенні CertiK — побудова більш безпечної та надійної екосистеми Web3.0 за допомогою суворих технологій формальної верифікації.
Прихильність Гу Ронгхая до безпеки виникає з його тривалої експлорації та практики технологічних ідеалів. Від участі в розробці операційної системи, яка була названа "бездоганною", під час навчання в аспірантурі Єльського університету, до сьогоднішнього дня, коли він забезпечує безпеку цифрових активів на трильйони доларів, він завжди прагнув захистити безпеку галузі та підвищити довіру всього екосистеми.
Як технічний лідер, який випустився з провідного університету, Гу Рунг Хуей протиставляє перевірність математичної логіки невизначеності хакерських атак, визначаючи нові стандарти безпеки для епохи Web3.0 між ідеалом і реальністю. Він неодноразово підкреслював, що безпека не повинна сприйматися як конкурентна перевага, а як спільна відповідальність всієї галузі. Ця концепція проявляється не лише в перетворенні наукових досягнень на практичні застосування, а й у його закликах до співпраці в галузі.
Ось основні моменти інтерв'ю:
Блокчейн безпека: основа розвитку Web3.0
У швидко розвиваючійся сфері Web3.0 безпека Блокчейн стала надзвичайно важливою темою. CertiK як провідна компанія в галузі безпеки прагне завдяки інноваційним технологіям всебічно зміцнити безпеку екосистеми Блокчейн. Компанія використовує формальну верифікацію та інші передові методи, постійно підвищуючи безпеку Блокчейн та смарт-контрактів, стала еталоном у сфері безпеки Web3.0.
Останній квартальний звіт з безпеки виявив нові тенденції у крадіжках цифрових активів та загрозах безпеці. Звіт також досліджує застосування передових технологій, таких як нульові знання та багатосторонні обчислення, у системах захисту, надаючи практичні рекомендації для розробників Блокчейн. Оскільки традиційні фінансові установи поступово входять у сферу Блокчейн, безпекові виклики також зростають, тому вжиття проактивних заходів захисту для забезпечення безпеки користувачів та підтримки цілісності екосистеми стає все більш важливим.
Місія та досягнення CertiK
Гу Ронгхуй розповів, що CertiK була заснована в 2017 році, її основна ідея полягає в використанні технології формальної верифікації для постійного моніторингу та зміцнення безпеки Блокчейн-протоколів і смарт-контрактів, щоб забезпечити їх безпечну та правильну роботу. Компанія інтегрує передові рішення з академічної та промислової сфер, допомагаючи застосуванням Web3.0 досягати сталого розширення за умов забезпечення безпеки.
На сьогоднішній день CertiK надав послуги майже 5000 корпоративним клієнтам, захистивши понад 5000 мільярдів доларів цифрових активів та виявивши понад 110000 вразливостей у коді. Ці досягнення повністю демонструють провідну позицію та вплив компанії у сфері безпеки Блокчейн.
Основні моменти звіту про безпеку за перший квартал 2025 року
Згідно з останнім квартальним звітом CertiK, у першому кварталі 2025 року втрати від шахрайств у Блокчейн становили близько 1,66 мільярда доларів, що є значним зростанням на 303% порівняно з попереднім кварталом. Це в основному пов'язано з великою атакою на біржу, що сталася в кінці лютого, яка призвела до втрат близько 1,4 мільярда доларів.
Ethereum все ще є основною мішенню для хакерських атак, цього кварталу відбулося 3 значні інциденти безпеки, що призвели до втрат активів у 1,54 мільярда доларів. Ще більш тривожним є те, що лише 0,38% вкрадених активів вдалося повернути, що підкреслює складність повернення активів.
Тенденції атак та стратегії безпеки
Тренди атак першого кварталу 2025 року продовжилися з кінця 2024 року, і екосистема Ethereum залишається основною мішенню для хакерів. Це в основному пов'язано з наявністю великої кількості DeFi-протоколів та величезних заблокованих активів на Ethereum, а також з тим, що в багатьох смарт-контрактах все ще є вразливості.
Стикаючись із все більш складними методами атак, індустрія безпеки блокчейну активно реагує. Інноваційні технології, такі як нульові знання та багатосторонні обчислення, широко застосовуються для підвищення захисту конфіденційності транзакцій та можливості аудиту, а також збільшення шансів на повернення активів. Розвиток цих технологій зіграє ключову роль у захисті від хакерських атак і підтриманні цілісності децентралізованих екосистем.
Поради для розробників
Гу Ронгхуй підкреслив, що вкрай важливо впроваджувати концепцію безпеки на кожному етапі розробки. Він рекомендує розробникам і командам проектів:
З самого початку запуску проекту безпека має бути на першому місці
Включити питання безпеки в усі етапи розробки, а не виправляти їх після факту
Шукати професійні безпечні організації для проведення всебічного, об'єктивного стороннього аудиту
Ця стратегія "безпека на першому місці" не лише допомагає вчасно виявити потенційні вразливості, але й у довгостроковій перспективі економить значну кількість часу та ресурсів. Водночас, сторонній аудит може надати незалежну точку зору, виявляючи ризики, які можуть бути проігноровані внутрішньою командою, що додатково підвищує загальну безпеку проєкту та довіру користувачів.
AI в безпеці Блокчейн: двосічний меч
Технології ШІ відіграють дедалі важливішу роль у сфері безпеки блокчейну. CertiK вже включила ШІ в свою основну стратегію безпеки, використовуючи технології ШІ для аналізу вразливостей та потенційних дефектів безпеки в смарт-контрактах, що підвищує ефективність аудиту. Однак ШІ не може повністю замінити роль команди експертів-аудиторів.
Одночасно з цим, зловмисники також можуть використовувати ШІ для посилення своїх атак, таких як виявлення вразливостей у коді, уникнення механізмів консенсусу тощо. Це означає, що поріг безпекової протидії підвищився, і галузі потрібно інвестувати в потужніші рішення безпеки, щоб впоратися з цим викликом.
Роль формалізованої верифікації
Формалізоване підтвердження — це метод, що використовує математичні засоби для доведення того, що комп'ютерна програма працює за очікуваннями. Це досягається шляхом вираження властивостей програми у вигляді математичних формул та перевірки за допомогою автоматизованих інструментів. Ця технологія може бути широко застосована в таких сферах, як проектування апаратного забезпечення, програмна інженерія, кібербезпека, штучний інтелект і аудит смарт-контрактів.
Для смарт-контрактів формальна верифікація може автоматично оцінити логіку і поведінку контракту, тоді як ручний аудит здійснюється експертами з безпеки, які всебічно перевіряють код, дизайн і розгортання для виявлення потенційних ризиків. Обидва методи доповнюють один одного, підвищуючи загальну безпеку смарт-контрактів.
Нові виклики, які приносить вхід традиційних фінансових установ
З входом традиційних фінансових установ у сферу Блокчейн, типи та складність загроз безпеці також змінюються. На ранніх етапах атаки були спрямовані переважно на окремих користувачів або невеликі проекти, такі як фішинг-атаки, RugPull тощо. Однак з приєднанням великих установ ризики кібербезпеки перейдуть у нову стадію.
Ця зміна стосується не лише зростання масштабів активів проєкту, але й унікальних вимог до безпеки корпоративних застосунків, регуляторних вимог, а також викликів, пов'язаних з глибокою інтеграцією Блокчейн та традиційних фінансових систем.
Очікується, що в майбутньому зловмисники підвищать складність своїх атак, переходячи від загальних вразливостей гаманців до більш цілеспрямованих корпоративних слабкостей, таких як конфігураційні помилки, вразливості в нестандартних смарт-контрактах, а також безпекові недоліки в інтерфейсах інтеграції з традиційними системами. Це вимагатиме від індустрії безпеки постійних інновацій, розробки більш сучасних стратегій захисту для протидії цим новим загрозам.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
6
Поділіться
Прокоментувати
0/400
GovernancePretender
· 08-04 04:38
Безпека є безпекою, а гроші є грошима.
Переглянути оригіналвідповісти на0
SerumSquirter
· 08-03 23:00
Забезпечення безпеки є пріоритетом!
Переглянути оригіналвідповісти на0
0xSherlock
· 08-03 18:08
Те, що ти кажеш про безпеку, означає витратити гроші.
Переглянути оригіналвідповісти на0
GasFeeLady
· 08-03 18:00
люблять свої FV докази... але чесно кажучи, все ще були зламані лол
Переглянути оригіналвідповісти на0
MEVVictimAlliance
· 08-03 17:52
З безпекою тут дуже все добре.
Переглянути оригіналвідповісти на0
GateUser-44a00d6c
· 08-03 17:48
криптосвіт сьогодні виглядає так: спочатку будуємо сцену, а потім граємо.
Засновник CertiK Гу Рунгхуей: безпека є основою Web3, необхідно бути обережними з подвійним мечем AI
Співзасновник CertiK Гу Рунгхуй говорить про безпеку Блокчейн: від академічних ідей до галузевої практики
Нещодавно технологічні медіа провели інтерв'ю з професором Гу Ронгхуй, співзасновником та CEO CertiK. Сторони детально обговорили останній випущений компанією звіт про безпеку, вивчаючи еволюцію методів хакерських атак та інноваційні шляхи технологій безпеки.
Гу Ронгхуй підкреслив, що безпека повинна розглядатися як базовий принцип, а не як заходи, що вживаються після виникнення проблем. Він пропонує інтегрувати концепцію безпеки в загальну стратегію проекту, впроваджуючи ідею "безпека на першому місці" з самого початку. Зокрема, він радить активно використовувати формальну верифікацію, нульові знання, багатосторонні обчислення та інші передові технології для всебічного підвищення захисних можливостей Блокчейн-протоколів і смарт-контрактів. Саме це стало його метою та баченням при створенні CertiK — побудова більш безпечної та надійної екосистеми Web3.0 за допомогою суворих технологій формальної верифікації.
Прихильність Гу Ронгхая до безпеки виникає з його тривалої експлорації та практики технологічних ідеалів. Від участі в розробці операційної системи, яка була названа "бездоганною", під час навчання в аспірантурі Єльського університету, до сьогоднішнього дня, коли він забезпечує безпеку цифрових активів на трильйони доларів, він завжди прагнув захистити безпеку галузі та підвищити довіру всього екосистеми.
Як технічний лідер, який випустився з провідного університету, Гу Рунг Хуей протиставляє перевірність математичної логіки невизначеності хакерських атак, визначаючи нові стандарти безпеки для епохи Web3.0 між ідеалом і реальністю. Він неодноразово підкреслював, що безпека не повинна сприйматися як конкурентна перевага, а як спільна відповідальність всієї галузі. Ця концепція проявляється не лише в перетворенні наукових досягнень на практичні застосування, а й у його закликах до співпраці в галузі.
Ось основні моменти інтерв'ю:
Блокчейн безпека: основа розвитку Web3.0
У швидко розвиваючійся сфері Web3.0 безпека Блокчейн стала надзвичайно важливою темою. CertiK як провідна компанія в галузі безпеки прагне завдяки інноваційним технологіям всебічно зміцнити безпеку екосистеми Блокчейн. Компанія використовує формальну верифікацію та інші передові методи, постійно підвищуючи безпеку Блокчейн та смарт-контрактів, стала еталоном у сфері безпеки Web3.0.
Останній квартальний звіт з безпеки виявив нові тенденції у крадіжках цифрових активів та загрозах безпеці. Звіт також досліджує застосування передових технологій, таких як нульові знання та багатосторонні обчислення, у системах захисту, надаючи практичні рекомендації для розробників Блокчейн. Оскільки традиційні фінансові установи поступово входять у сферу Блокчейн, безпекові виклики також зростають, тому вжиття проактивних заходів захисту для забезпечення безпеки користувачів та підтримки цілісності екосистеми стає все більш важливим.
Місія та досягнення CertiK
Гу Ронгхуй розповів, що CertiK була заснована в 2017 році, її основна ідея полягає в використанні технології формальної верифікації для постійного моніторингу та зміцнення безпеки Блокчейн-протоколів і смарт-контрактів, щоб забезпечити їх безпечну та правильну роботу. Компанія інтегрує передові рішення з академічної та промислової сфер, допомагаючи застосуванням Web3.0 досягати сталого розширення за умов забезпечення безпеки.
На сьогоднішній день CertiK надав послуги майже 5000 корпоративним клієнтам, захистивши понад 5000 мільярдів доларів цифрових активів та виявивши понад 110000 вразливостей у коді. Ці досягнення повністю демонструють провідну позицію та вплив компанії у сфері безпеки Блокчейн.
Основні моменти звіту про безпеку за перший квартал 2025 року
Згідно з останнім квартальним звітом CertiK, у першому кварталі 2025 року втрати від шахрайств у Блокчейн становили близько 1,66 мільярда доларів, що є значним зростанням на 303% порівняно з попереднім кварталом. Це в основному пов'язано з великою атакою на біржу, що сталася в кінці лютого, яка призвела до втрат близько 1,4 мільярда доларів.
Ethereum все ще є основною мішенню для хакерських атак, цього кварталу відбулося 3 значні інциденти безпеки, що призвели до втрат активів у 1,54 мільярда доларів. Ще більш тривожним є те, що лише 0,38% вкрадених активів вдалося повернути, що підкреслює складність повернення активів.
Тенденції атак та стратегії безпеки
Тренди атак першого кварталу 2025 року продовжилися з кінця 2024 року, і екосистема Ethereum залишається основною мішенню для хакерів. Це в основному пов'язано з наявністю великої кількості DeFi-протоколів та величезних заблокованих активів на Ethereum, а також з тим, що в багатьох смарт-контрактах все ще є вразливості.
Стикаючись із все більш складними методами атак, індустрія безпеки блокчейну активно реагує. Інноваційні технології, такі як нульові знання та багатосторонні обчислення, широко застосовуються для підвищення захисту конфіденційності транзакцій та можливості аудиту, а також збільшення шансів на повернення активів. Розвиток цих технологій зіграє ключову роль у захисті від хакерських атак і підтриманні цілісності децентралізованих екосистем.
Поради для розробників
Гу Ронгхуй підкреслив, що вкрай важливо впроваджувати концепцію безпеки на кожному етапі розробки. Він рекомендує розробникам і командам проектів:
Ця стратегія "безпека на першому місці" не лише допомагає вчасно виявити потенційні вразливості, але й у довгостроковій перспективі економить значну кількість часу та ресурсів. Водночас, сторонній аудит може надати незалежну точку зору, виявляючи ризики, які можуть бути проігноровані внутрішньою командою, що додатково підвищує загальну безпеку проєкту та довіру користувачів.
AI в безпеці Блокчейн: двосічний меч
Технології ШІ відіграють дедалі важливішу роль у сфері безпеки блокчейну. CertiK вже включила ШІ в свою основну стратегію безпеки, використовуючи технології ШІ для аналізу вразливостей та потенційних дефектів безпеки в смарт-контрактах, що підвищує ефективність аудиту. Однак ШІ не може повністю замінити роль команди експертів-аудиторів.
Одночасно з цим, зловмисники також можуть використовувати ШІ для посилення своїх атак, таких як виявлення вразливостей у коді, уникнення механізмів консенсусу тощо. Це означає, що поріг безпекової протидії підвищився, і галузі потрібно інвестувати в потужніші рішення безпеки, щоб впоратися з цим викликом.
Роль формалізованої верифікації
Формалізоване підтвердження — це метод, що використовує математичні засоби для доведення того, що комп'ютерна програма працює за очікуваннями. Це досягається шляхом вираження властивостей програми у вигляді математичних формул та перевірки за допомогою автоматизованих інструментів. Ця технологія може бути широко застосована в таких сферах, як проектування апаратного забезпечення, програмна інженерія, кібербезпека, штучний інтелект і аудит смарт-контрактів.
Для смарт-контрактів формальна верифікація може автоматично оцінити логіку і поведінку контракту, тоді як ручний аудит здійснюється експертами з безпеки, які всебічно перевіряють код, дизайн і розгортання для виявлення потенційних ризиків. Обидва методи доповнюють один одного, підвищуючи загальну безпеку смарт-контрактів.
Нові виклики, які приносить вхід традиційних фінансових установ
З входом традиційних фінансових установ у сферу Блокчейн, типи та складність загроз безпеці також змінюються. На ранніх етапах атаки були спрямовані переважно на окремих користувачів або невеликі проекти, такі як фішинг-атаки, RugPull тощо. Однак з приєднанням великих установ ризики кібербезпеки перейдуть у нову стадію.
Ця зміна стосується не лише зростання масштабів активів проєкту, але й унікальних вимог до безпеки корпоративних застосунків, регуляторних вимог, а також викликів, пов'язаних з глибокою інтеграцією Блокчейн та традиційних фінансових систем.
Очікується, що в майбутньому зловмисники підвищать складність своїх атак, переходячи від загальних вразливостей гаманців до більш цілеспрямованих корпоративних слабкостей, таких як конфігураційні помилки, вразливості в нестандартних смарт-контрактах, а також безпекові недоліки в інтерфейсах інтеграції з традиційними системами. Це вимагатиме від індустрії безпеки постійних інновацій, розробки більш сучасних стратегій захисту для протидії цим новим загрозам.